Bir kaç gün önce serbest bırakılması sunucunun yeni düzeltici sürümü Apache HTTP 2.4.5314 değişiklik getiren ve 4 güvenlik açığını gideren . Bu yeni versiyonun duyurusunda şunlardan bahsediliyor: şubenin son sürümüdür 2.4.x Apache HTTPD sürümüdür ve proje tarafından on beş yıllık yeniliği temsil eder ve önceki tüm sürümlere göre önerilir.
Apaçi hakkında bilgisi olmayanlar, bunun böyle olduğunu bilmelidirler. popüler bir açık kaynak HTTP web sunucusu, Unix platformları (BSD, GNU / Linux, vb.), Microsoft Windows, Macintosh ve diğerleri için kullanılabilir.
Apache 2.4.53'teki yenilikler nelerdir?
Apache 2.4.53'ün bu yeni sürümünün yayımlanmasında güvenlikle ilgili olmayan en dikkate değer değişiklikler şunlardır: karakter sayısı sınırının artırıldığı mod_proxy'de denetleyici adına, ayrıca güç verme yeteneği de eklendi arka uç ve ön uç için zaman aşımlarını seçici olarak yapılandırın (örneğin, bir işçiyle ilgili olarak). Web yuvaları veya CONNECT yöntemi aracılığıyla gönderilen istekler için zaman aşımı, arka uç ve ön uç için ayarlanan maksimum değere değiştirildi.
Bu yeni sürümde öne çıkan değişikliklerden bir diğeri de DBM dosyalarının açılması ve DBM sürücüsünün yüklenmesinin ayrı olarak ele alınması. Bir çökme durumunda, günlük artık hata ve sürücü hakkında daha ayrıntılı bilgi gösteriyor.
En mod_md, /.well-known/acme-challenge/ adresine yapılan istekleri işlemeyi durdurdu etki alanı yapılandırması 'http-01' sorgulama tipinin kullanımını açıkça etkinleştirmediği sürece mod_dav'da çok sayıda kaynak işlenirken yüksek bellek tüketimine neden olan bir gerileme düzeltildi.
Öte yandan, ayrıca vurgulanmaktadır. pcre2 kitaplığını kullanma yeteneği (10.x) normal ifadeleri işlemek için pcre (8.x) yerine ve ayrıca LDAP yapı değiştirme saldırıları gerçekleştirmeye çalışırken verileri doğru şekilde filtrelemek için sorgu filtrelerine LDAP anormallik ayrıştırma desteği eklendi ve bu mpm_event, yeniden başlatırken veya MaxConnectionsPerChild sınırını aşarken oluşan bir kilitlenmeyi düzeltti. yüksek yüklü sistemler.
güvenlik açıklarından Bu yeni sürümde çözülen sorunlar aşağıda belirtilmiştir:
- CVE-2022-22720: bu, özel olarak hazırlanmış istemci istekleri göndererek, mod_proxy aracılığıyla iletilen diğer kullanıcıların isteklerinin içeriğine izin veren bir "HTTP istek kaçakçılığı" saldırısı gerçekleştirme olasılığına izin verdi (örneğin, sitenin başka bir kullanıcının oturumunda kötü amaçlı JavaScript kodu). Sorun, geçersiz bir istek gövdesini işlerken hatalarla karşılaştıktan sonra gelen bağlantıların açık bırakılmasından kaynaklanır.
- CVE-2022-23943: bu, mod_sed modülünde, saldırgan kontrollü verilerle yığın belleğin üzerine yazılmasına izin veren bir arabellek taşması güvenlik açığıydı.
- CVE-2022-22721: Bu güvenlik açığı, 350 MB'den büyük bir istek gövdesi iletilirken oluşan bir tamsayı taşması nedeniyle arabelleğe sınırların dışında yazma olanağı sağladı. Sorun, LimitXMLRequestBody değerinin çok yüksek yapılandırıldığı 32 bit sistemlerde kendini gösterir (varsayılan olarak 1 MB, bir saldırı için sınır 350 MB'den büyük olmalıdır).
- CVE-2022-22719: bu, mod_lua'da rastgele bellek alanlarının okunmasına ve özel hazırlanmış bir istek gövdesi işlendiğinde işlemin engellenmesine izin veren bir güvenlik açığıdır. Sorun, r:parsebody işlevinin kodunda başlatılmamış değerlerin kullanılmasından kaynaklanır.
Nihayet onun hakkında daha fazlasını bilmek istiyorsan bu yeni sürümle ilgili ayrıntıları şuradan kontrol edebilirsiniz: aşağıdaki bağlantı.
Boşaltmak
Resmi Apache web sitesine giderek yeni sürümü edinebilirsiniz ve indirme bölümünde yeni sürüme giden bağlantıyı bulacaksınız.